Configurer le AWS CA privée connecteur pour AD pour Microsoft AD AWS géré - AWS Directory Service
Configuration AWS CA privée du connecteur pour ADAWS CA privée Connecteur de visualisation pour ADConfiguration des politiques ADConfirmation de la AWS CA privée délivrance d'un certificat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le AWS CA privée connecteur pour AD pour Microsoft AD AWS géré

Vous pouvez intégrer votre Microsoft AD AWS géré à AWS Autorité de certification privée (CA) pour émettre et gérer des certificats pour vos contrôleurs de domaine Active Directory, vos utilisateurs joints à un domaine, vos groupes et vos machines. AWS CA privée Connector for Active Directory vous permet d'utiliser une solution de remplacement entièrement gérée AWS CA privée pour votre entreprise autogérée CAs sans qu'il soit nécessaire de déployer, de patcher ou de mettre à jour des agents locaux ou des serveurs proxy.

Vous pouvez configurer AWS CA privée l'intégration à votre annuaire via la Directory Service console, la console AWS CA privée Connector for Active Directory ou en appelant l'CreateTemplateAPI. Pour configurer l'intégration de Private CA via la console AWS CA privée Connector for Active Directory, reportez-vous à la section Création d'un modèle de connecteur. Consultez les étapes suivantes pour configurer cette intégration depuis la Directory Service console.

Configuration AWS CA privée du connecteur pour AD

Pour créer un connecteur CA privé pour Active Directory

  1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Dans l'onglet Gestion des AWS applications et dans la section Applications et services, sélectionnez AWS CA privée Connector for AD.

  4. Sur la page Créer un certificat d'autorité de certification privée pour Active Directory, suivez les étapes pour créer votre connecteur d'autorité de certification privée pour Active Directory.

Pour de plus amples informations, veuillez consulter Creating a connector (français non garanti).

AWS CA privée Connecteur de visualisation pour AD

Pour afficher les détails du connecteur Private CA

  1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/directoryservicev2/.

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Dans l'onglet Gestion des AWS applications et dans la section Applications et services, consultez vos connecteurs d'autorité de certification privée et l'autorité de certification privée associée. Les champs suivants s'affichent :

    1. AWS CA privée ID du connecteur : identifiant unique d'un AWS CA privée connecteur. Sélectionnez-le pour afficher la page de détails.

    2. AWS CA privée objet — Informations concernant le nom distinctif de l'autorité de certification. Sélectionnez-le pour afficher la page de détails.

    3. État — Résultats de la vérification de l'état du AWS CA privée connecteur et AWS CA privée :

      • Actif — Les deux contrôles sont réussis

      • Échec d'une demi-vérification — échec d'une vérification

      • Échec : les deux vérifications échouent

      Pour obtenir des informations sur le statut d'échec, passez le pointeur de la souris sur le lien hypertexte pour voir quelle vérification a échoué.

    4. État d'inscription des certificats DC — Vérification de l'état du certificat du contrôleur de domaine :

      • Activé — L'inscription aux certificats est activée

      • Désactivé — L'inscription au certificat est désactivée

    5. Date de création : date de création AWS CA privée du connecteur.

Pour plus d'informations, veuillez consulter View connector details (français non garanti).

Le tableau suivant présente les différents statuts d'inscription des certificats de contrôleur de domaine pour AWS Managed Microsoft AD with AWS CA privée.

État d'inscription au DC Description Action requise

Activées

Les certificats de contrôleur de domaine sont correctement inscrits dans votre annuaire.

Aucune action requise.

Échec

L'activation ou la désactivation de l'inscription des certificats de contrôleur de domaine a échoué pour votre annuaire.

Si votre action d'activation échoue, réessayez en désactivant les certificats de contrôleur de domaine, puis en les réactivant. Si votre action de désactivation échoue, réessayez en activant les certificats de contrôleur de domaine, puis en les désactivant à nouveau. Si la nouvelle tentative échoue, contactez le AWS Support.

Dégradé

Les contrôleurs de domaine rencontrent des problèmes de connectivité réseau lorsqu'ils communiquent avec les AWS CA privée terminaux.

Vérifiez les politiques relatives aux points de terminaison AWS CA privée VPC et aux compartiments S3 pour autoriser la connectivité réseau avec votre annuaire. Pour plus d'informations, consultez Résoudre les messages d'exception des autorités de certification AWS privées et Résoudre les problèmes de révocation de AWS CA privée certificats.

Désactivées

L'inscription des certificats de contrôleur de domaine est correctement désactivée pour votre annuaire.

Aucune action requise.

Désactivation

La désactivation de l'inscription des certificats de contrôleur de domaine est en cours.

Aucune action requise.

Activation

L'activation de l'inscription des certificats de contrôleur de domaine est en cours.

Aucune action requise.

Configuration des politiques AD

AWS CA privée Le Connector for AD doit être configuré de manière AWS à ce que les contrôleurs de domaine et les objets Microsoft AD gérés puissent demander et recevoir des certificats. Configurez votre objet de stratégie de groupe (GPO) afin de AWS CA privée pouvoir délivrer des certificats aux objets Microsoft AD AWS gérés.

Configuration des politiques Active Directory pour les contrôleurs de domaine

Activer les politiques Active Directory pour les contrôleurs de domaine

  1. Ouvrez l'onglet Réseau et sécurité.

  2. Choisissez AWS CA privée Connectors.

  3. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire.

  4. Choisissez Actions, puis Activer les certificats de contrôleur de domaine.

Important

Configurez un modèle de contrôleur de domaine valide avant d'activer les certificats de contrôleur de domaine afin d'éviter les mises à jour différées.

Une fois que vous avez activé l'inscription des certificats de contrôleur de domaine, les contrôleurs de domaine de votre annuaire demandent et reçoivent des certificats de AWS CA privée Connector for AD.

Pour modifier votre émission AWS CA privée de certificats de contrôleur de domaine, connectez d'abord le nouveau AWS CA privée à votre annuaire à l'aide d'un nouveau AWS CA privée Connector for AD. Avant d'activer l'enregistrement des certificats sur le nouveau AWS CA privée, désactivez l'enregistrement des certificats sur le certificat existant :

Désactiver les certificats de contrôleur de domaine

  1. Ouvrez l'onglet Réseau et sécurité.

  2. Choisissez AWS CA privée Connectors.

  3. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire.

  4. Choisissez Actions, Désactiver les certificats de contrôleur de domaine.

Configuration des politiques Active Directory pour les utilisateurs, ordinateurs et machines joints à un domaine

Configuration des objets de stratégie de groupe

  1. Connectez-vous à l'instance d'administration Microsoft AD AWS gérée et ouvrez le Gestionnaire de serveur depuis le menu Démarrer.

  2. Sous Outils, sélectionnez Gestion des politiques de groupe.

  3. Sous Forêt et domaines, recherchez l'unité organisationnelle (UO) de votre sous-domaine (par exemple, corp il s'agit de votre unité organisationnelle de sous-domaine si vous avez suivi les procédures décrites dansCréation de votre AWS compte Microsoft AD géré) et cliquez avec le bouton droit sur l'unité organisationnelle de votre sous-domaine. Choisissez Créer un GPO dans ce domaine, liez-le ici et entrez PCA GPO pour le nom. Choisissez OK.

  4. Le GPO nouvellement créé apparaît après le nom de votre sous-domaine. Cliquez avec le bouton droit sur PCA GPO et choisissez Modifier. Si une boîte de dialogue s'ouvre avec un message d'alerte indiquant qu'il s'agit d'un lien et que les modifications sont propagées dans le monde entier, confirmez le message en choisissant OK pour continuer. La fenêtre de l'éditeur de gestion des politiques de groupe s'ouvre.

  5. Dans la fenêtre de l'éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique (choisissez le dossier).

  6. Sous Type d'objet, choisissez Certificate Services Client - Certificate Enrollment Policy.

  7. Dans la fenêtre Client des services de certificats - Politique d'inscription des certificats, remplacez le modèle de configuration par Activé.

  8. Vérifiez que la politique d'inscription Active Directory est sélectionnée et activée. Choisissez Ajouter.

  9. La boîte de dialogue du serveur de politiques d'inscription aux certificats s'ouvre. Entrez le point de terminaison du serveur de politique d'inscription des certificats que vous avez généré lorsque vous avez créé votre connecteur dans le champ Entrez l'URI de la politique du serveur d'inscription. Laissez le type d'authentification Windows intégré.

  10. Choisissez Valider. Une fois la validation réussie, choisissez Ajouter.

  11. Revenez à la boîte de dialogue Client des services de certificats - Politique d'inscription des certificats et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut.

  12. Choisissez la politique d'inscription Active Directory, puis sélectionnez Supprimer.

  13. Dans la boîte de dialogue de confirmation, choisissez Oui pour supprimer l'authentification basée sur LDAP.

  14. Choisissez Appliquer puis OK dans la fenêtre Client des services de certificats - Politique d'inscription des certificats. Fermez ensuite la fenêtre.

  15. Sous Type d'objet pour le dossier Public Key Policies, choisissez Certificate Services Client - Auto-Enrollment.

  16. Modifiez l'option Modèle de configuration sur Activé.

  17. Vérifiez que les options Renouveler les certificats expirés et Mettre à jour les certificats sont toutes deux sélectionnées. Laissez les autres paramètres tels quels.

  18. Choisissez Appliquer, puis OK, puis fermez la boîte de dialogue.

Configurez ensuite les politiques de clé publique pour la configuration utilisateur en répétant les étapes 6 à 17 dans la section Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique.

Une fois que vous avez terminé la configuration GPOs et les politiques de clé publique, les objets du domaine demandent des certificats à AWS CA privée Connector for AD et reçoivent des certificats émis par AWS CA privée.

Confirmation de la AWS CA privée délivrance d'un certificat

Le processus de mise AWS CA privée à jour pour émettre des certificats pour votre Microsoft AD AWS géré peut prendre jusqu'à 8 heures.

Vous pouvez effectuer l'une des actions suivantes :

  • Vous pouvez attendre cette période.

  • Vous pouvez redémarrer les machines jointes au domaine Microsoft AD AWS géré qui ont été configurées pour recevoir des certificats du AWS CA privée. Vous pouvez ensuite confirmer que les certificats ont AWS CA privée été émis aux membres de votre domaine Microsoft AD AWS géré en suivant la procédure décrite dans la Microsoftdocumentation.

  • Vous pouvez utiliser la PowerShell commande suivante pour mettre à jour les certificats de votre Microsoft AD AWS géré :

    certutil -pulse